调研揭示当前企业数据安全保护的优先级顺序

企业组织机构的受攻击面正在持续不断的扩大。而随着数据信息越来越被分散到跨云服务、移动设备、远程设备、合作伙伴及其他第三方环境,使得网络边界也正在消失。进入网络的多入口点已经出现,使得原本就已经相当复杂的数据盗窃者在全球范围内团结起来,创造出了专业的列表数据盗窃业务。那么,企业组织机构要如何应对这一状况呢?根据IDG研究服务在2016年3月所进行的一项调查显示,企业的IT领导者们都已经意识到了这一新的数据安全风险以及以数据为中心的加密技术在减缓这些相关风险方面所发挥的作用。然而,与此同时,许多企业组织机构似乎已经被迅速转变的安全环境搞得不堪重负。他们承认,他们在充分采用数据级保护作为通往实现对各种状态的数据(包括静态、传输过程中、使用中的数据)的安全保护的一个路径方面并没有取得足够的进展。

这项最新的调查发现,大多数企业组织机构的安全部署都遵循了容器级别的加密方法,而不是更安全的数据级别的加密方法。但其实企业组织对于在最高水平确保数据的安全性的重要性是非常了解的。采取积极主动的数据安全保护战略,将降低企业风险,也有助于保护企业的品牌和声誉。

保护静态数据是最重要的

据IDG的受访者表示,企业组织机构将其大部分的精力和预算用在于基于容器的数据安全性和静止数据保护方面,例如存储在数据库中的的数据(见下图1)。

有近四分之三(72%)的受访者表示,其所在的企业组织将静态数据的安全性排在最为 关键 的位置。相比之下,只有约一半(50%)的受访者表示,他们所在的企业组织将跨网络传输过程中的数据的安全性视为最关键的,而较高比例( 57%)的受访者表示,保护正在使用的数据(应用程序数据)的安全性是其所在企业的重中之重。

问题在于,敏感数据是未受保护的,且正在被应用程序、分析师、业务流程用户和数据科学家所使用,故而是非常脆弱的,极易受到网络攻击。业内专家显示,在一个应用程序中的数据或跨一个网络正在传输过程中的数据更容易被外部盗窃。一些报告显示,超过80%的数据泄露事件均发生在应用程序级别。

图1、企业数据安全保护优先级:

数据资料来源:IDG研究服务;基于对54家受访企业的问卷调查

而一个好消息则是:该项调查的结果描绘了一副企业的安全管理愿景正朝着争相打造数据安全,以推动业务目标转型,并遵守日益严格的数据隐私保密监管要求方向过渡。

例如,已经意识到数据保护和加密的益处的企业所占的比例是相当高的(见下图2)。但是,尽管有超过四分之三(76%)的受访者表示数据加密有助于减轻数据泄露的风险,超过一半(52%)的受访者也将其归结为在新的平台(云服务、移动设备、大数据)的数据保护,并恰好有一半(50%)的受访者将其归结为行业安全合规性。

简而言之,在数据级别的加密(要比容器级别的加密方法更具细粒度)是对静态数据、及传输和使用中的数据进行安全保护的关键。

图2、企业组织机构实施数据保护和加密的益处:

数据资料来源:IDG研究服务;基于对54家受访企业的问卷调查

企业如何保护他们的数据

那么,企业组织机构在今天如何保护他们的数据安全呢?大部分受访者表示,他们保护数据是在整个磁盘级别(56%)和数据库级别(50%)和文件级别(48%)。然而,所有这些都是采用的容器级别的方法,并没有考虑数据不会停留在一个地方的事实。当数据移动时,受保护的数据容器之间的间隙会突然出现。与之相反,在数据级别的加密保护的数据,无论数据是什么状态、位于何处,都是受保护的。

调查受访者乔尔 罗森布拉特,纽约哥伦比亚大学信息安全办公室(CISO)网络和计算机安全主管这样解释道:

几乎所有的网络安全事故都是以某种形式的网络钓鱼开始的 获得某人的网络访问凭据并使用该凭据来访问数据。对于企业数据的盗窃行为迫使企业需要对其数据库实施加密,同时也妨碍了企业自己也用户访问数据库。 他说。 但是,如果数据是字段加密的,那么,即使有人盗走了整个数据库,也将无法读取(因为你已经加密了字段)。这是不容易做到的,但它会为你的数据提供真正的安全。

解释和建议

一些企业可能会坚持采用那些熟悉的安全方法,但这却是以可能面临新的风险为代价的。这一点已经被调查结果所证实,调查显示,当前企业组织重点都是采用基于容器的方法。

然而, 支持不断变化的环境的能力 却是受访者们所列出的对于安全的第二大障碍(46%),而排名第一的障碍则是长期的安全管理的困难(57%)。今天的安全形势要求更新的技术,能够通过借助加密数值或随机token,更换原始数据,来屏蔽敏感的信息。

标记化(Tokenization)和格式保留加密(format-preserving encryption,FPE)就是这样的两种方法。两种方法都涉及到借助加密数值或随机token来替换原始数据。例如,AES-FPE采用传统的高级加密标准(Advanced Encryption Standard,AES)加密,但却能够保持数据格式不变;数据库模式和应用程序很少或没有改变是必需的,当加密的数值从大型机迁移到开放系统时,没有格式转换是必要的。只有15%的受访者表示他们所在的企业组织机构正在使用FPE,不过,也许是因为这种方法太新了。

无状态的密钥管理是一个FPE相关的技术,安全地提取导出了在传输过程中的密钥。这种方法降低了IT成本,并通过消除对关键数据库和相应的硬件、软件的需要;以及对于不断保护数据库的IT流程的需要或从站点到站点复制或备份密钥的需要,而简化了管理负担。

标记化被支付卡行业(PCI)所广泛采用,因为其有着严格的客户信息保护要求。30%的受访者表示说,他们使用了这种方法。一个较新的形式,称为无状态的标记化,阻止企业将高度敏感的客户数据和其他数据存储在数据库中,随机产生的token与实际的个人账户没有任何关系。PCI认为标记化的数据系统超出了掌控范围之外;而没有通过PCI审核的标记化系统降低了合规性要求,复杂性和企业的成本。

结论

安全风险和解决方案已经从多个维度方面获得了增长,而随着企业组织的数据溢出企业边界,到达云服务和数据湖、以及移动网络和公共互联网连接,则应该适用新的规则。在数据级别上的数据加密有助于对数据信息的安全保护,无论其是处在什么状态,也不论其是迁移到何处。

对于那些建立和实施了新的加密流程的企业组织机构而言,这一任务无疑是相当艰巨的,所以业界专家建议企业组织不妨从最敏感的数据开始,然后将是最有价值的数据。这将帮助你企业制定一个框架,来解决你企业所有的数据平台、应用程序、大数据和物联网(IoT)网络、支付处理设备和预服务加密的云服务格式和标记化技术。

关于本调研

IDG研究服务于2016年3月进行了一次快速调查,以了解当前的企业组织机构是如何应对他们的数据安全挑战的,以及他们的数据保护优先级顺序及其相关安全保护解决方案采用计划。这项调查研究涉及到跨多个行业和公司规模的54名IT专业人士。

加密术语表

数据库级别的加密 在关系数据库中的元素级别的粒度加密,如数据库中的列(column)或字段(field)。

数据级别,格式保留加密(format-preserving encryption,FPE) 在字段或子字段级别的加密方法,用来通过将某些特定的明文格式转换成密文格式进行加密,来护结构化和半结构化的数据。某些FPE方法也将保留数据的逻辑值,如参照完整性和日期范围。

Data Masking(数据屏蔽) 利用随机字符隐藏原始数据;或在字段中的数据保护敏感数据。

文件级别的加密 由一个文件系统对单个文件或目录进行加密保护。

标记化(Tokenization) 用等效的、没有外在或利用意义和价值的非敏感数据替换一个敏感数据元素的过程,例如信用卡号,简称为 token 。